AIN.UA » Безопасность, Коллекции, ЛучшееАйтішник просканував всю Україну по IP: «У нас серйозні проблеми із безпекою»

Айтішник просканував всю Україну по IP: «У нас серйозні проблеми із безпекою»

11455

Київський IT-підприємець Алекс Рябцев займається веб-розробкою і підтримкою сайтів, давно цікавиться питаннями комп’ютерної безпеки. Коли він прочитав статтю про те, як Крістіан Гашек просканував усю Австрію по IP, то вирішив повторити той самий експеримент, але з українським пулом інтернет-адрес. Результати він опублікував у своєму блозі. Редактор AIN.UA поспілкувалась із Алексом про цей експеримент. 

Як отримати усі IP, що належать одній країні?

Принципова ідея Алекса була в тому, щоби не використовувати жодних спеціальних засобів при дослідженні. Для того, щоби просканувати весь пул IP-адрес, що відносяться до однієї країни, потрібно просто подивитись публічний список: IP-адреси видаються на кожну країну і їхні списки публікуються. Можна скачати такий список і відфільтрувати grep Ukraine IP2LOCATION-LITE-DB1.CSV > ukraine.csv

Крістіан написав скрипт для свого експерименту, Алекс скористався ним, щоби привести список у зручніший вигляд. Виявилось, що Україні належить майже стільки ж IPv4 адрес, як і Австрії: 11 640 409, якщо бути точним (для порівняння в Австрії – 11 170 487).

Для роботи з IP-адресами також можна використати сервіс Shodan.io.

Кілька знахідок експерименту:

1. В Україні є непропатчені Windows машини, які мають прямий доступ до інтернету. 

Алекс виявив, що з українськими IP-адресами можна знайти 5669 машин під Windows з прямим доступом до мережі (що вочевидь небезпечно), за допомогою команди masscan -p445 –rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l

Серед них є і ті, що вразливі до атаки експлойту ETHERNALBLUE, відомого ще з 2017 року. «В Австрії не було жодної такої машини, і я сподівався, що в Україні також не буде знайдено. На жаль, марно. Знайдено 198 IP адрес, які не закрили цю “дірку” у себе», — пише спеціаліст. 

2. В Україні є DNS-сервери-open-resolvers, що можуть бути використані для DDoS-атаки. 

За допомогою masscan -pU:53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -l Алекс спочатку знайшов ті, що мають відкритий 53 порт, і отримав список зі 58 730 IP-адрес. Втім, це ще не означає, що їх усі можна використати для DDoS-атаки, ці сервери також мають бути open-resolver (тобто, DNS, що дозволяє будь-якому клієнту себе використовувати). 

Для цього він використав команду dig: dig +short test.openresolver.com TXT @ip.of.dns.server. Якщо сервер відповідав open-resolver-detected, то можна було вважати його потенційним об’єктом атаки. Такі сервери в українському інтернеті складають 25% від усіх (приблизно так само, як і в Австрії). Серед усіх українських IP — це 0,02%. «Небагато, але може спричинити певні проблеми», — говорить він.  

3. Є IP з відкритим 80-м портом (тобто, можна подивитись через браузер). Що на ньому зазвичай «висить»?

  • Веб-сервери. «260 849 українських IP відповідають на 80 порту (http). 125 444 адреси відповіли позитивно (200 статус) на простенький GET-запит, який може надіслати браузер. Решта видали ті чи інші помилки. Цікаво, що 853 сервери видали 500 статус, а найрідкіснішими статусами стали 407 (запит на проксі авторизацію) та абсолютно нестандартний 602 (IP не в “білому списку”) по одній відповіді», — пише Алекс. На веб-серверах України, за його спостереженнями, домінує Apache, його використовують 114 544 сервери. Найстаріша зі знайдених версій: 1.3.29, що вийшла 29 жовтня 2003 року. На другому місці – nginx (61 659 серверів). 11 серверів використовують WinCE, яка вийшла 1996 року, а перестали патчити її у 2013 році. Протокол HTTP/2 використовує 5 144 серверів, HTTP/1.1 – 256 836, HTTP/1 – 13 491. 
  • Принтери.  Автору дослідження вдалось знайти два принтери HP, п’ять Epson та чотири Canon, доступних з мережі, а деякі з них навіть не вимагали авторизації. 
  • Веб-камери. 75 камер транслюють себе в інтернет без захисту. Подивитися на них можна тут

Саме сканування заняло приблизно місяць, якісь з тестів займали добу часу, якісь йшли пару тижнів. 

За словами розробника, це – лише перший крок, далі він буде шукати фінансування під проект, зокрема через RIPE community projects, щоб робити його хвилями й дивитися на динаміку безпеки в Україні. 

«Можу сказати, що проблеми існують доволі серйозні, але Україна – не унікальна в цьому. У нас ситуація точно гірше, ніж в Австрії, хоча по кількості IP ми майже однакові. І найголовніше, що про інформаційну безпеку треба думати постійно, як про гігієну. порада проста: вкладати гроші в ІТ не раз на 5-10 років, коли треба поміняти комп’ютер чи зробити новий сайт, а постійно, бо це така ж інфраструктура, як авто чи офіс», – зазначив автор дослідження. 

Нагадаємо, нещодавно стало відомо про судову справу, яку Facebook веде проти двох українських програмістів: вони показували користувачам несанкціоновану рекламу. 

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

10

Комментарии | 10

  • AIN українською? Молодці!

  • Боже, какой кошмар, в Украине на целых 120 тысяч адресов работают веб-серверы. Шок, скандал, неужели там сайты?!
    Скажите, а вот мне адрес 8.8.8.8 ответил положительно про open-resolver, правда, что это очень плохо?

  • Ну молодець. А той факт, що з початку війни волонтери Кібер Спротиву навіть об'єднались у Кібер Альянс та постійно проводять цю ж роботу АІН просто не помічає? Цілий рух #FuckResponsibleDisclosure та #Паравозикоблачко організували. Щось не надто багато статей на АІН з приводу конфіденційної та таємної інформації виявленої в публічному доступі. Хлопець молодець, а от АІН явно недопрацював!

    • ну про діяльність УКА трохи знаю, але широкому загалу вони майже невідомі (що є й у плюс, і в мінус), тому й почав піднімати питання кібербезпеки загалом.
      PS
      дякую за «хлопця», мене так ніхто вже років 20 не називав 😉

      PPS
      крутезний ресурс розвиваєте про підручники!

      • Я проти ейджизму, бо є молодь, що і мені не наздогнати за здібностями та навиками. Але якщо це ображає особисто автора, то прошу вибачення. Головний меседж всеж стосувався недоопрацювання ЗМІ всього питання.

        А ресурсом з підручників не займаюсь від початку війни, просто адреса висить. Головне, що відскановані підручники з відміткою «продаж заборонено» видання, що їх друкували банять за порушення суміжних прав!! Після війни займусь цим питанням вже. https://www.youtube.com/watch?v=TG-xOuexs10 — довоєнна тематика.

    • А в чем они Украинские, что так назвались? Сайт в основном на английском

  • Добро пожаловать в интернет, Саша!

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: